Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Backdoors SloppyMIO Backdoor

SloppyMIO Backdoor

Μέχρι το Mezo το Backdoors, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Ένας απειλητικός φορέας που μιλάει Φαρσί και αξιολογείται ότι ευθυγραμμίζεται με τα συμφέροντα του ιρανικού κράτους είναι ύποπτος για την ενορχήστρωση μιας νέας εκστρατείας κυβερνοκατασκοπείας που στοχεύει μη κυβερνητικές οργανώσεις και άτομα που εμπλέκονται στην καταγραφή πρόσφατων παραβιάσεων ανθρωπίνων δικαιωμάτων. Ερευνητές ασφαλείας εντόπισαν τη δραστηριότητα τον Ιανουάριο του 2026 και της έδωσαν την κωδική ονομασία RedKitten.

Πολιτικό Πλαίσιο και Στρατηγική Στόχευσης

Η εκστρατεία συμπίπτει στενά με τις εκτεταμένες αναταραχές στο Ιράν που ξεκίνησαν στα τέλη του 2025, λόγω του απότομου πληθωρισμού, της κλιμάκωσης των τιμών των τροφίμων και της σοβαρής υποτίμησης του νομίσματος. Οι επακόλουθες κυβερνητικές καταστολές φέρονται να οδήγησαν σε σημαντικά θύματα και παρατεταμένες διακοπές στο διαδίκτυο. Η επιχείρηση φαίνεται να έχει σχεδιαστεί για να εκμεταλλευτεί αυτό το περιβάλλον, εκμεταλλευόμενη άτομα που αναζητούν πληροφορίες για αγνοούμενους ή νεκρούς διαδηλωτές, αξιοποιώντας τη συναισθηματική δυσφορία για να προκαλέσει επείγουσα ανάγκη και να μειώσει τον σκεπτικισμό.

Αρχική ανάπτυξη φορέα μόλυνσης και καθοδηγούμενη από LLM

Η αλυσίδα εισβολής ξεκινά με ένα αρχείο 7-Zip που φέρει ένα όνομα αρχείου στη γλώσσα Φαρσί. Μέσα υπάρχουν υπολογιστικά φύλλα του Microsoft Excel που περιέχουν κακόβουλες μακροεντολές. Αυτά τα αρχεία XLSM υποτίθεται ότι απαριθμούν τους διαδηλωτές που σκοτώθηκαν στην Τεχεράνη μεταξύ 22 Δεκεμβρίου 2025 και 20 Ιανουαρίου 2026. Ωστόσο, ασυνέπειες, όπως αναντιστοιχίες ηλικιών και ημερομηνιών γέννησης, υποδηλώνουν ότι τα δεδομένα είναι κατασκευασμένα. Όταν ενεργοποιούνται οι μακροεντολές, ένα πρόγραμμα απόθεσης που βασίζεται σε VBA αναπτύσσει ένα εμφύτευμα C# με το όνομα 'AppVStreamingUX_Multi_User.dll' χρησιμοποιώντας την ένεση AppDomainManager.

Η ανάλυση κώδικα υποδηλώνει ότι πιθανότατα χρησιμοποιήθηκαν μεγάλα γλωσσικά μοντέλα στην ανάπτυξη, με βάση τη δομή της μακροεντολής, τις συμβάσεις ονομασίας και τα ενσωματωμένα σχόλια που μοιάζουν με αυτοματοποιημένες ή εκπαιδευτικές υποδείξεις.

Αρχιτεκτονική και δυνατότητες Backdoor του SloppyMIO

Το εμφυτευμένο backdoor, που παρακολουθείται ως SloppyMIO, βασίζεται σε μεγάλο βαθμό σε νόμιμες πλατφόρμες cloud και συνεργασίας. Το GitHub χρησιμοποιείται ως dead drop resolver για την απόκτηση URL του Google Drive που φιλοξενούν εικόνες που αποκρύπτουν δεδομένα διαμόρφωσης μέσω στεγανογραφίας. Οι εξαγόμενες ρυθμίσεις περιλαμβάνουν διαπιστευτήρια bot Telegram, αναγνωριστικά συνομιλίας και συνδέσμους προς πρόσθετα ωφέλιμα φορτία.

Το SloppyMIO υποστηρίζει πολλαπλές λειτουργικές ενότητες που επιτρέπουν την εκτέλεση εντολών, τη συλλογή και εξαγωγή αρχείων, την ανάπτυξη ωφέλιμου φορτίου, τη διατήρηση μέσω προγραμματισμένων εργασιών και την εκτέλεση διεργασιών. Το κακόβουλο λογισμικό μπορεί να κατεβάσει, να αποθηκεύσει προσωρινά και να εκτελέσει αυτές τις ενότητες κατ' απαίτηση, δίνοντας στους χειριστές ευρύ έλεγχο σε παραβιασμένα συστήματα.

Οι υποστηριζόμενες λειτουργικές ενότητες περιλαμβάνουν:

  • Εκτέλεση εντολών μέσω του διερμηνέα εντολών των Windows
  • Συλλογή αρχείων και εξαγωγή με βάση ZIP μεγέθους που ανταποκρίνεται στα όρια του Telegram API
  • Εγγραφή αρχείων σε έναν τοπικό κατάλογο δεδομένων εφαρμογής χρησιμοποιώντας ωφέλιμα φορτία με κωδικοποίηση εικόνας
  • Δημιουργία προγραμματισμένης εργασίας για επαναλαμβανόμενη εκτέλεση
  • Έναρξη αυθαίρετης διαδικασίας
  • Διοίκηση και έλεγχος μέσω Telegram

    • Πέρα από την παροχή αρθρωτού ωφέλιμου φορτίου, το SloppyMIO διατηρεί συνεχή επικοινωνία με τους χειριστές του χρησιμοποιώντας το Telegram Bot API. Τα implant beacons ελέγχουν την κατάσταση του συστήματος, αναζητούν οδηγίες και μεταδίδουν δεδομένα που συλλέγονται μέσω συνομιλιών στο Telegram, ενώ παράλληλα υποστηρίζουν την άμεση ανάθεση εργασιών από ένα ξεχωριστό τελικό σημείο εντολών και ελέγχου.

    Οι παρατηρούμενες εντολές χειριστή περιλαμβάνουν:

    • Ενεργοποίηση συλλογής και εξαγωγής αρχείων
    • Εκτέλεση αυθαίρετων εντολών κελύφους
    • Εκκίνηση συγκεκριμένων εφαρμογών ή διεργασιών

    Απόδοση και Ιστορικές Παραλληλίες

    Η απόδοση σε παράγοντες που συνδέονται με το Ιράν βασίζεται σε πολλαπλούς δείκτες: αντικείμενα της γλώσσας Φαρσί, θέματα δολώματος που συνδέονται με εγχώριες αναταραχές και τακτική επικάλυψη με προηγούμενες εκστρατείες. Αξιοσημείωτα, υπάρχουν ομοιότητες με επιχειρήσεις που αποδίδονται στην Tortoiseshell, η οποία στο παρελθόν καταχράστηκε κακόβουλα αρχεία Excel και την ένεση AppDomainManager, καθώς και με μια καμπάνια του 2022 που συνδέθηκε με ένα υποσύμπλεγμα Nemesis Kitten που χρησιμοποίησε το GitHub για τη διανομή του backdoor του Drokbk. Η αυξανόμενη χρήση εργαλείων με τη βοήθεια της τεχνητής νοημοσύνης περιπλέκει περαιτέρω τη διαφοροποίηση των παραγόντων και την εμπιστοσύνη στην απόδοση.

    Παράλληλες επιχειρήσεις ηλεκτρονικού “ψαρέματος” (phishing) και ευρύτερος αντίκτυπος

    Ξεχωριστά, οι ερευνητές αποκάλυψαν μια καμπάνια ηλεκτρονικού "ψαρέματος" (phishing) που πραγματοποιήθηκε μέσω του WhatsApp και η οποία χρησιμοποιεί μια πλαστογραφημένη διεπαφή ιστού WhatsApp που φιλοξενείται σε έναν τομέα DuckDNS. Η σελίδα ρωτάει συνεχώς ένα τελικό σημείο που ελέγχεται από τον εισβολέα για να εμφανίσει έναν ενεργό κωδικό QR που συνδέεται με την ίδια την περίοδο λειτουργίας WhatsApp Web του εχθρού. Τα θύματα που σαρώνουν τον κώδικα, εν αγνοία τους, επαληθεύουν τον εισβολέα, παρέχοντας πλήρη πρόσβαση στον λογαριασμό. Η υποδομή ηλεκτρονικού "ψαρέματος" (phishing) ζητά επίσης δικαιώματα προγράμματος περιήγησης για πρόσβαση στην κάμερα, το μικρόφωνο και τη γεωγραφική τοποθεσία, επιτρέποντας ουσιαστικά την παρακολούθηση σε πραγματικό χρόνο.

    Πρόσθετα ευρήματα υποδεικνύουν σχετική δραστηριότητα που αποσκοπούσε στην συλλογή διαπιστευτηρίων Gmail, συμπεριλαμβανομένων κωδικών πρόσβασης και κωδικών ελέγχου ταυτότητας δύο παραγόντων, μέσω πλαστών σελίδων σύνδεσης. Περίπου 50 άτομα έχουν επηρεαστεί, μεταξύ των οποίων μέλη της κουρδικής κοινότητας, ακαδημαϊκοί, κυβερνητικό προσωπικό, επιχειρηματικοί ηγέτες και άλλα υψηλά ιστάμενα πρόσωπα. Οι χειριστές πίσω από αυτές τις προσπάθειες ηλεκτρονικού "ψαρέματος" (phishing) και τα ακριβή κίνητρά τους παραμένουν ανεπιβεβαίωτα.

    Επιχειρησιακή Τεχνογνωσία και Αμυντικές Επιπτώσεις

    Η εκτεταμένη χρήση εμπορευματοποιημένων πλατφορμών όπως το GitHub, το Google Drive και το Telegram παρεμποδίζει την παραδοσιακή παρακολούθηση που βασίζεται σε υποδομές, ενώ ταυτόχρονα εισάγει εκμεταλλεύσιμα μεταδεδομένα και κινδύνους λειτουργικής ασφάλειας για τους εισβολείς. Σε συνδυασμό με την αυξανόμενη υιοθέτηση της Τεχνητής Νοημοσύνης από τους απειλητικούς παράγοντες, καμπάνιες όπως το RedKitten υπογραμμίζουν την ανάγκη οι υπερασπιστές να επικεντρωθούν στην ανάλυση συμπεριφοράς, την επικύρωση περιεχομένου και την ευαισθητοποίηση των χρηστών αντί να βασίζονται αποκλειστικά σε δείκτες υποδομής.

    Τάσεις

    Απάτη μέσω email με ειδοποίηση σφάλματος τομέα

    Phishing, Ανεπιθύμητη αλληλογραφία
    Η επαγρύπνηση κατά την αντιμετώπιση απροσδόκητων email είναι απαραίτητη. Οι κυβερνοεγκληματίες συχνά εκμεταλλεύονται την εμπιστοσύνη και τον επείγοντα χαρακτήρα για να ξεγελάσουν τους παραλήπτες ώστε να λάβουν επιβλαβείς αποφάσεις. Τα απάτη συχνά είναι προσεκτικά σχεδιασμένα ώστε να φαίνονται νόμιμα, παρόλο που δεν σχετίζονται με πραγματικές εταιρείες, οργανισμούς ή παρόχους υπηρεσιών. Μια...

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    26,860
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...